介绍另一个Wsyscheck工具的普通使用
这楼为初次求助的介绍另一个Wsyscheck工具的普通使用。(深层次的东西偶不会用,呵呵!!想学的自己去到处跑着学去,偶帮不了啦)
这Wsyscheck工具的使用和syscheck2的操作差不多。
就只说多出来的一些东西,慢慢一点一点说吧。
在进程控制上,主要是进程终止和禁止进程启动。相当于SRENG日志的正在运行的进程部分的信息。
正常的进程终止
有时病毒进程结束后会反复创建,这可以选择三个方式对付:
1、“删除文件后锁定”:就是左上角“软件设置”菜单里的那个“删除文件后锁定”项,这时当“结束进程并删除文件”后Wsyscheck将创建0字节的锁定文件防止木马再生。
2、也可以使用进程页右键菜单中的“禁止选择的程序运行”,这个功能就是流行的IFEO映像劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。
(但是一定要记住病毒文件名绝对不能有和系统文件同名的,如果有和系统同名的病毒文件,绝对不能用这方法禁止创建进程,因为这会连系统程序也被禁止了,系统可能会完蛋的!!!)
3、软件设置下的“禁止进程与文件创建”功能:
这功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止。
使用本功能后能更轻松地删除木马文件及注册表启动项。
开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。
可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。
注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。
要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
再下来,就是关于插进程的病毒模块的操作了。
按Wsyscheck工具的项目排列,再说下一个内核检查里的SSDT项,如图在SSDT项如果发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。这只是为了阻止病毒利用SSDT来隐藏文件和主册表项。
内核检查里的其他项,偶就不会了,想了解的自己耐心百度吧。
现在看相当于SRENG日志服务项的东西:
安全检查项里有好几个项目。
1、常规检查(类似于SRENG日志的hosts文件、winsock修复、文件关联、IFEO映像劫持等的检测修复)
2、活动文件:相当于SRENG日志的启动项目等内容
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
